Bundesamt für Sicherheit in der Informationstechnik

M 2.225 Zuweisung der Verantwortung für Informationen, Anwendungen und IT-Komponenten

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche, Mitarbeiter

Um zu einer umfassenden Gesamtsicherheit zu gelangen, ist die Beteiligung aller Mitarbeiter einer Organisation an der Umsetzung der erforderlichen Sicherheitsmaßnahmen erforderlich. Für alle Informationen, Anwendungen und IT-Komponenten muss daher festgelegt werden, wer für diese und deren Sicherheit verantwortlich ist. Hierfür sollte immer eine konkrete Person (inklusive Vertreter) und keine abstrakte Gruppe benannt werden, damit die Zuständigkeit jederzeit deutlich erkennbar ist. Bei komplexeren Informationen, Anwendungen und IT-Komponenten sollten alle Verantwortlichen und deren Vertreter namentlich genannt sein.

Umgekehrt sollten natürlich alle Mitarbeiter wissen, für welche Informationen, Anwendungen und IT-Komponenten sie in welcher Weise verantwortlich sind.

Jeder Mitarbeiter ist dabei für das verantwortlich, was in seinem Einflussbereich liegt, es sei denn, es ist explizit anders geregelt. Beispielsweise ist die Leitungsebene der Organisation verantwortlich für alle grundsätzlichen Entscheidungen bei der Einführung einer neuen Anwendung, der Leiter IT zusammen mit dem Informationssicherheitsmanagement für die Ausarbeitung von Sicherheitsvorgaben für die IT-Komponenten,, die Administratoren für deren korrekte Umsetzung und die Benutzer für den sorgfältigen Umgang mit den zugehörigen Informationen, Anwendungen und Systemen.

Die Fachverantwortlichen als die "Eigentümer" von Informationen und Anwendungen müssen sicherstellen, dass

  • der Schutzbedarf der Informationen, Anwendungen und IT-Komponenten korrekt festgestellt wurde,
  • die erforderlichen Sicherheitsmaßnahmen umgesetzt werden,
  • dies regelmäßig (z. B. täglich, wöchentlich, monatlich) überprüft wird,
  • die Aufgaben für die Umsetzung der Sicherheitsmaßnahmen klar definiert und zugewiesen werden,
  • der Zugang bzw. Zugriff zu den Informationen, Anwendungen und IT-Komponenten geregelt ist,
  • die Informationssicherheit gefährdende Abweichungen schriftlich dokumentiert werden.

Die Fachverantwortlichen müssen zusammen mit dem Informationssicherheitsmanagement entscheiden, wie mit eventuellen Restrisiken umgegangen wird.

Prüffragen:

  • Ist für alle Informationen, Anwendungen und IT -Komponenten klar geregelt, wer für diese und deren Sicherheit verantwortlich ist?

  • Sind alle Mitarbeiter darüber informiert, für welche Informationen, Anwendungen und IT -Komponenten sie in welcher Weise verantwortlich sind?

Stand: 13. EL Stand 2013